EY, CertifyPoint

Appels

Un appel est un enregistrement formel du mécontentement d’un client à l’égard du résultat d’une décision de certification ou de vérification (et notamment du processus ayant abouti à ce résultat).

Dès la réception d’un appel, CertifyPoint est responsable de toutes les décisions, à tous les niveaux du processus de traitement des appels. L’organisme de certification ou de vérification doit confirmer que les personnes engagées dans ce processus sont différentes de celles qui ont effectué les audits et pris les décisions de certification ou de vérification.

Activités

1. Chaque employé peut recevoir des appels, oralement ou par courrier, fax ou e-mail. Les appels doivent être transmis par écrit à l’attention du directeur. 
2. Dès réception d’un appel, le directeur-adjoint l’inscrit dans le registre des appels. Les appels sont transmis au directeur. Le directeur adresse à l’appelant, le plus rapidement possible et par l’intermédiaire du directeur-adjoint, une lettre ou un e-mail confirmant la réception et la prise en compte de son appel. 
3. Le directeur est informé du contexte et/ou de la cause de l’appel examiné par un ou plusieurs employés sans lien avec le cas en question (et n’ayant donc pas été impliqués dans l’audit de certification ou de vérification, ni dans le processus de décision). Les résultats sont communiqués au directeur dans les quatre semaines qui suivent. 
4. Le rapport est utilisé pour établir des procédures de récupération ou de correction. Celles-ci doivent prévoir des mesures de récupération rapide de la certification ou vérification, de prévention de la répétition et d’évaluation de l’efficacité des mesures de récupération ou de correction appliquées. 
5. Dans les quatre semaines qui suivent la confirmation de la réception, le directeur adresse à l’expéditeur une lettre indiquant la solution proposée. 
6. Dans les cas où la mise en œuvre des étapes ci-dessus ne conduit pas à une solution acceptable, ou si la procédure présentée est inacceptable pour l’appelant ou les autres parties impliquées, le directeur signale l’appel au département des affaires juridiques (Juridische Zaken ou JZ). JZ exerce un rôle de coordination et forme un comité d’arbitrage dont les membres doivent être acceptés par les deux parties afin de garantir l’impartialité du jugement. L’appelant présente officiellement son cas, après quoi le comité d’arbitrage établit une déclaration écrite reprenant ses conclusions, sa décision et ses motivations. La décision de CertifyPoint s’impose à toutes les parties. 
7. CertifyPoint conserve les fichiers et les enregistrements de tous les appels liés à la certification et à la vérification, de même que ceux des actions de récupération. Ces informations sont notamment utilisées à des fins d’analyse lors des revues de direction.

Réclamations

Activités

1. Chaque employé peut recevoir des réclamations, oralement ou par courrier, fax ou e-mail. L’employé est tenu de signaler les réclamations au directeur-adjoint. 
2. Dès réception d’une réclamation, le directeur-adjoint l’inscrit dans le registre des réclamations. La réclamation est transmise au directeur. Le directeur adresse au plaignant (par l’intermédiaire du directeur-adjoint) une lettre ou un e-mail confirmant la réception et la prise en compte de sa réclamation. Dès réception d’une réclamation, le directeur confirme si celle-ci concerne des activités de certification ou de vérification relevant de sa responsabilité et, dans l’affirmative, se charge de la traiter. Si la réclamation concerne un client certifié, son examen tient compte de l’efficacité du système de gestion certifié.
3. Le directeur est informé du contexte et/ou de la cause de la réclamation examinée par un ou plusieurs employés sans lien avec le cas en question (et n’ayant donc pas été impliqués dans l’audit de certification ou de vérification, ni dans le processus de décision). Les résultats sont communiqués au directeur dans les quatre semaines qui suivent. 
4. Le rapport est utilisé pour établir des procédures de récupération ou de correction. Celles-ci doivent prévoir des mesures de récupération rapide de la certification ou vérification, de prévention de la répétition et d’évaluation de l’efficacité des mesures de récupération ou de correction appliquées. 
5. Dans les quatre semaines qui suivent la confirmation de la réception, le directeur adresse à l’expéditeur une lettre indiquant la solution proposée. 
6. Dans les cas où la mise en œuvre des étapes ci-dessus ne conduit pas à une solution acceptable, ou si la procédure présentée est inacceptable pour le plaignant ou les autres parties impliquées, le plaignant a la possibilité de faire appel. 
7. Lors de la discussion avec le client concerné, le plaignant et CertifyPoint décideront si et dans quelle mesure la réclamation et la solution retenue seront rendues publiques. 
8. CertifyPoint conserve les fichiers et les enregistrements de tous les appels liés à la certification et à la vérification, de même que ceux des actions de récupération. Ces informations sont notamment utilisées à des fins d’analyse lors des revues de direction.

Confidentialité

Activités

1. EYCP est responsable de la gestion des informations obtenues ou créées lors de l’exercice des activités de certification.
2. EYCP doit informer le client de toute information qu’il entend placer dans le domaine public. Toutes les autres informations, hormis celles mises à la disposition du public par le client, sont considérées comme confidentielles.
3. Sauf exigence contraire de la norme ISO/IEC 17021, les informations portant sur un client ou un individu certifié ne doivent pas être divulguées à un tiers sans le consentement écrit du client ou de l’individu certifié concerné.
4. Lorsque la loi exige la diffusion d’informations confidentielles ou que des dispositions contractuelles (avec l’organisme d’accréditation, par exemple) l’autorisent, le client ou l’individu concerné doit, sauf si la loi l’interdit, être informé des renseignements divulgués.
5. Les informations relatives au client provenant de sources autres que le client lui-même (exemples : réclamation, organismes de réglementation) sont traitées comme des données confidentielles.
6. Le personnel, y compris les membres du comité, les sous-traitants, le personnel d’instances extérieures ou les individus agissant au nom d’EYCP, doit garantir le caractère confidentiel de toutes les informations obtenues ou créées lors de l’exercice des activités d’EYCP, sauf si la loi l’exige.
7. Les membres de l’équipe d’audit sont tenus de signer une déclaration de confidentialité avant de débuter les activités d’audit pour un client particulier.

Utilisation de marques de certification

Activités

1. L’utilisation de la marque de certification d’EY CertifyPoint, éventuellement en combinaison avec la marque d’accréditation du Dutch Accreditation Council [Raad voor Accreditatie], nécessite l’autorisation écrite préalable du directeur général d’EY CertifyPoint.
2. Les marques de certification et d’accréditation peuvent être utilisées dans des courriers et autres documents, sous réserve que ces documents se rapportent aux activités certifiées. Les mêmes règles s'appliquent à l'utilisation des marques de certification et d'accréditation dans les documents numériques, tels que les sites web, à condition qu'il y ait un lien hypertexte vers (https://www.ey.com/en_gl/consulting/certify-point). Le logo ne doit pas être utilisé dans un bloc de signature électronique individuel.
3. Les marques de certification et d’accréditation ne peuvent être utilisées dans des documents que si elles s’accompagnent du logo et/ou du nom de l’organisation certifiée. Les marques de certification et d’accréditation ne doivent pas attirer plus l’attention que le logo ou le nom de l’organisation. Hormis sa taille, le logo ne peut être modifié d’aucune façon.
4. Les organisations certifiées peuvent utiliser les marques de certification et d’accréditation dans des supports promotionnels, sous réserve que ces derniers fassent au minimum référence à certaines des activités certifiées. Toute référence trompeuse, de quelque nature que ce soit, doit être évitée. En conséquence, les activités relevant du champ d’application de la certification et celles qui n’en relèvent pas doivent être clairement identifiables. Les logos et les marques ne peuvent être utilisés que pendant la durée de validité de la certification. En d’autres termes, ils ne peuvent en aucun cas être utilisés en cas de suspension, d’expiration ou de retrait de la certification.
5. Les organisations certifiées peuvent utiliser les marques de certification et d’accréditation dans des courriers. Les propositions, lettres d’offre, etc., qui ne concernent pas exclusivement des activités certifiées peuvent porter les marques de certification et d’accréditation, à condition d’indiquer clairement les services certifiés et ceux qui ne le sont pas. Ceci vaut également pour les documents joints à ces courriers. Si les marques de certification et d’accréditation sont utilisées dans une proposition, une offre, etc., qui se rapporte exclusivement à des activités extérieures au champ d’application de la certification, la mention suivante doit figurer telle quelle dans le document : « La certification EY CertifyPoint ne s’applique pas aux activités spécifiées dans [cette lettre]. », « [cette lettre] » devant être remplacé par le nom du document (proposition, offre, etc.).
6. L’utilisation des marques de certification et d’accréditation sur les cartes de visite du personnel des organisations certifiées n’est pas autorisée.
7. Dans la mesure où elles s’appliquent à la certification de systèmes, les marques de certification et d’accréditation ne peuvent pas être utilisées sur des produits ou des emballages de produits, ni sur des produits connexes.
8. L’utilisation de la marque d’accréditation dans les rapports et les certificats des laboratoires d’étalonnage et d’essai et des organismes d’inspection certifiés est exclue.
9. EY CertifyPoint se réserve le droit de vérifier à tout moment l’utilisation des marques de certification et d’accréditation conformément aux règles énoncées dans cette section. L’organisation certifiée est tenue d’apporter son concours à ces contrôles.
10. L’utilisation de la marque de certification EY CertifyPoint par des organisations dépourvues de certification EY CertifyPoint en cours de validité constitue un usage abusif. L’utilisation de la marque sans autorisation par des organisations titulaires d’une certification en cours de validité constitue également un abus. En cas d’usage abusif, EY CertifyPoint prendra les mesures mises à sa disposition, telles que des actions correctives, la révocation de la certification, la publication de l’infraction ou des démarches juridiques.
11. Les organisations certifiées ne peuvent pas céder, accorder en sous-licence ni transférer d’une quelconque façon les droits d’utilisation du logo ou des marques à un tiers, et reconnaissent et acceptent que toute tentative de transfert de ce type serait nulle et non exécutoire.
12. L’autorisation d’utiliser la marque d’accréditation prend fin au terme de l’accréditation d’EY CertifyPoint.

La première étape d’une mise en œuvre réussie des systèmes de gestion associés et de leur intégration au sein d’une organisation consiste à se familiariser avec les normes de certification. EY CertifyPoint propose des formations adaptées aux besoins des organisations et des individus. Les participants peuvent y découvrir les véritables enjeux et avantages de la mise en œuvre et de l’audit des systèmes de gestion.

Nos formateurs sont des professionnels hautement qualifiés, qui possèdent de l’expérience non seulement dans l’audit des normes de certification répertoriées ci-dessous, mais aussi dans la mise en œuvre de ces normes, acquise en participant à de nombreuses missions de conseil EY pour des organisations internationales de premier plan. Nous nous efforçons constamment de placer l’entreprise au centre de nos préoccupations, en identifiant les domaines de redondance, les goulots d’étranglement et les gains d’efficacité potentiels par une approche de certification systématique, indépendante et conforme à des normes reconnues, dont voici quelques exemples :

• ISO 9001 – Systèmes de management de la qualité ;
• ISO 14001 – Systèmes de management environnemental ;
• ISO/IEC 20000-1 – Systèmes de management des services informatiques ;
• ISO 21500 – Systèmes de management des projets ;
• ISO 22301 – Systèmes de management de la continuité d’activité ;
• ISO/IEC 27001 – Systèmes de management de la sécurité de l’information ;
• ISO/IEC 27017 – Contrôles de sécurité pour les services du nuage ;
• ISO/IEC 27018 – Protection des informations personnelles identifiables dans l’informatique en nuage ;
• OHSAS 18001 – Systèmes de management de la santé et de la sécurité au travail ;
• ISO 50001 – Systèmes de management de l’énergie ;
• ISO 37001 – Systèmes de management anti-corruption ;
• ISO 45001 – Systèmes de management de la santé et de la sécurité au travail ;
• Évaluations de l’Association mondiale de la loterie (World Lottery Association) ;
• Certification CSA STAR ;
• NEN 7510 – Systèmes de management de la sécurité des informations médicales ;
• Certification des hébergeurs de données de santé (HDS) ;
• Multi-Tier Cloud Security (MTCS, Singapour) ;
• Identification électronique et services de confiance (eIDAS) ;
• Évaluation selon le RGPD ;
• Approche intégrée avec les normes ISAE 3402, SOC et d’autres rapports de certification ;
• ISO/IEC 27701:2019 – Systèmes de management de la protection de la vie privée (non approuvée).

Apprenez auprès de professionnels

Chez EY CertifyPoint, nous proposons bien plus que de simples connaissances sur les normes de certification.

• Nos participants découvriront les véritables enjeux et avantages de l’audit ainsi que de la mise en œuvre.
• Nous offrirons à nos participants une compréhension approfondie des défis concrets que posent les tâches relatives aux normes de certification. 
• Nos participants pourront évaluer leur système de gestion sous-jacent.
• Nous enrichirons les connaissances de nos participants, en les confrontant à des études de cas ainsi qu’à des exemples concrets tirés de précédents audits et mises en œuvre de normes de certification.
• Nous fournirons à nos participants de précieux outils afin que leur organisation puisse comprendre et mettre en œuvre les normes de certification.

Formations proposées par EY CertifyPoint

EY CertifyPoint propose des formations sur quatre ou cinq jours pour différentes normes. Ces formations ont été élaborées afin de développer les compétences essentielles des participants dans le cadre de la mise en œuvre (et/ou de l’audit) d’un système de management conforme aux exigences de chacune des normes ISO.

Actuellement, EY CertifyPoint propose des formations pour les normes ISO ci-dessous. Cliquez sur une norme pour obtenir plus d’informations.

• ISO 9001 – Management de la qualité : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 9001 définit les principales exigences que doit satisfaire le système de management de la qualité (SMQ) d’une organisation souhaitant démontrer sa capacité à fournir en permanence des produits ainsi que des services qui améliorent la satisfaction des clients et répondent aux exigences légales et réglementaires en vigueur. Cette norme repose sur plusieurs principes de management de la qualité, dont une orientation client marquée, une motivation et une implication de la direction, une approche processus et une amélioration continue.
• ISO 14001 – Management environnemental : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 14001 définit les exigences que doit satisfaire le système de management environnemental d’une organisation afin de répondre aux obligations juridiques et d’améliorer ses résultats en matière d’environnement et de développement durable. Cette norme détermine les exigences associées à une politique environnementale (qui inclut un engagement afin d’éviter toute pollution), à la planification, à l’examen de gestion, à la conformité juridique, à la formation, à l’amélioration et aux contrôles opérationnels.
• ISO/IEC 20000 – Management des services informatiques : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 20000 est une norme spécifique de management de la qualité axée sur la gestion des services informatiques. Elle définit quatre procédures essentielles concernant : 1) la prestation de services (niveau de service, disponibilité et gestion de la capacité) ; 2) les relations (interfaces entre le prestataire de services, les clients et les fournisseurs) ; 3) la résolution (prévention ou résolution d’incidents) ; et 4) les contrôles (gestion des changements, des actifs et des configurations).
• ISO 22301 – Management de la continuité d’activité : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 22301 permet aux organisations de mieux appréhender les ruptures dans le cadre de ses opérations commerciales et de gérer plus efficacement la reprise des activités. Cette norme établit des exigences de sécurité pour les systèmes de préparation à la reprise des activités après sinistre et de management de la continuité d’activité. Elle précise également les éléments requis pour planifier, établir, mettre en œuvre, exploiter, surveiller, analyser, gérer et améliorer continuellement un système de management documenté.
• ISO/IEC 27001 – Management de la sécurité de l’information : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 27001 permet aux organisations de gérer la sécurité d’actifs, tels que des informations financières, la propriété intellectuelle, des renseignements sur les collaborateurs ou des informations confiées à des tiers. Cette norme définit les exigences à satisfaire pour établir, mettre en œuvre, exploiter, surveiller, analyser, gérer et améliorer un système documenté de management de la sécurité de l’information (SMSI), grâce à une approche d’amélioration continue. Elle constitue la base des audits externes et vise à favoriser l’harmonisation avec d’autres normes de management, comme l’ISO 9001.
• ISO 50001 – Management de l’énergie : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 50001 permet aux organisations d’instaurer un système de management de l’énergie, en développant une politique visant à améliorer l’efficacité énergétique ainsi qu’en fixant des objectifs qui permettront de répondre à cette politique et d’améliorer en permanence la gestion énergétique. Pouvant être facilement intégrée à d’autres systèmes de management, cette norme concerne toutes les organisations de tous les secteurs.
  
  La conception, la mise en œuvre et l’audit d’un système de management selon la norme ISO 50001 permettent non seulement de garantir la conformité des organisations (à la directive européenne sur l’efficacité énergétique), mais aussi d’instaurer un cadre qui favorise les économies énergétiques.
• ISO 37001 – Management anti-corruption : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 37001 permet aux organisations de mettre en place des mesures de prévention, de détection et de lutte en matière de corruption. Celles-ci comprennent l’adoption d’une politique anti-corruption, la désignation d’un contrôleur de la conformité anti-corruption, la formation des collaborateurs, l’évaluation des risques ainsi que l’audit concernant des projets et des partenaires commerciaux, la mise en œuvre de contrôles financiers et commerciaux ainsi que l’élaboration de procédures de signalement et d’enquête. Pouvant être facilement intégrée à d’autres systèmes de management, cette norme concerne toutes les organisations de tous les secteurs (publics et privés). Elle peut être ajustée selon la taille et la nature de l’organisation ainsi qu’aux risques de corruption auxquels cette dernière est confrontée.
  
  Grâce à cette formation, vous apprendrez à concevoir, à mettre en œuvre et à auditer un système de management selon la norme ISO 37001 afin de diminuer les risques de corruption et de lutter contre tout acte illicite en la matière.
• ISO/IEC 27017 – Technologies de l’information – Techniques de sécurité (Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII) : Lead Implementer/Lead Auditor (formation de 2 à 4 jours)*
  L’ISO 27017 définit les lignes directrices pour les contrôles de sécurité de l’information applicables à la prestation et à l’utilisation de services en nuage. Elle fournit des indications de mise en œuvre de contrôles pertinents en vertu de la norme ISO /IEC 27002 ainsi que de contrôles supplémentaires spécifiques aux services en nuage. Cette norme fournit des orientations concernant les contrôles et la mise en œuvre applicables aux prestataires de services en nuage ainsi qu’à leurs clients.
  
  Remarque : Pour suivre cette formation de façon indépendante, une bonne compréhension du système de management de la sécurité de l’information conformément à la norme ISO 27001 est nécessaire.
• ISO/IEC 27018 – Technologies de l’information – Techniques de sécurité (Code de bonnes pratiques pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services en nuage) : Lead Implementer/Lead Auditor (formation de 2 à 4 jours)*
  L’ISO/IEC 27018 soutient les organisations grâce à des objectifs, à des procédures, à des contrôles et à des directives permettant de mettre en place des mesures de protection des informations personnelles identifiables (PII), conformément aux principes de confidentialité de l’ISO/IEC 29100 pour l’environnement public d’informatique en nuage.
  Cette norme définit des directives basées sur l’ISO/IEC 27002 et tenant compte des exigences réglementaires pour la protection des PII susceptibles de s’appliquer dans le cadre du ou des environnements à risque d’un prestataire public de services en nuage en matière de sécurité de l’information.
  L’ISO/IEC 27018 concerne toutes les organisations de tous les secteurs (publics ou privés) fournissant des services de traitement de l’information en tant que processeurs de PII via l’informatique en nuage dans le cadre de contrats avec d’autres organisations.
• SS 584:2015 et C1:2016 – Spécification pour la norme Multi-Tier Cloud Security (MTCS) : Lead Implementer/Lead Auditor (formation de 2 à 4 jours)*
  La spécification pour la norme SS 584:2015, communément appelée MTCS, est la première norme de sécurité pour les services en nuage au monde qui couvre plusieurs niveaux de sécurité dans ce domaine. Elle a été élaborée par l’Information Technology Standards Committee (ITSC) pour les fournisseurs de services en nuage à Singapour. Elle s’appuie sur des normes internationales reconnues, telles que l’ISO 27001. De plus, elle propose aux utilisateurs de services en nuage un mécanisme de comparaison et de hiérarchisation des compétences des fournisseurs de services selon un ensemble de base d’exigences de sécurité. Elle garantit aux utilisateurs de services en nuage le respect par les fournisseurs des exigences de sécurité minimales pour chaque niveau. Les fournisseurs de services en nuage bénéficient d’un mécanisme permettant de mettre en évidence la sécurité de leurs offres.
• ISO 45001 – Management de la santé et de la sécurité au travail : Lead Implementer/Lead Auditor (formation de 4 à 5 jours)
  L’ISO 45001 (Systèmes de management de la santé et de la sécurité au travail – Exigences et lignes directrices pour leur utilisation) est la première norme internationale au monde en matière de santé et de sécurité au travail (S&ST). Elle définit un cadre destiné à augmenter la sécurité, à réduire les risques sur le lieu de travail et à améliorer la santé ainsi que le bien-être au travail. Ainsi, les organisations peuvent accroitre de manière proactive leur efficacité en matière de S&ST. L’ISO 45001 permet aux organisations de mettre en place un système de management de la santé et de la sécurité au travail. Ces dernières sont ainsi en mesure de gérer leurs risques et d’améliorer leurs performances en matière de S&ST, en élaborant et en mettant en œuvre des politiques ainsi que des objectifs efficaces.

* Remarque : Pour suivre cette formation de façon indépendante, une bonne compréhension du système de management de la sécurité de l’information conformément à la norme ISO 27001 est nécessaire.

Remarque : Les formations concernant les normes ISO 27017, ISO 27018 et MTCS peuvent être combinées en une seule session de 4 à 5 jours.